1. LE TEMPISTICHE
Il GDPR (General Data Protection Regulation) sarà vincolante per tutti i paesi Europei a partire dal 25 maggio 2018 e impatterà pesantemente sulla gestione dei dati personali e della normativa sulla privacy di tutte le organizzazione, pubbliche o private, piccole o grandi.
Perché il GDPR sta creando tanta agitazione? Perché le sanzioni previste sono molto importanti e possono arrivare fino ad un massimo di 20 milioni di € per un’azienda singola e fino al 4% del fatturato mondiale se si tratta di un Gruppo.
2. L’INFORMATIVA
L’informativa deve essere fornita all’utente prima di effettuare la raccolta dei dati, per iscritto o con altri mezzi, anche con mezzi elettronici. L’informativa dovrà essere adeguata, chiara, accessibile e completa. In particolare, occorrerà fare attenzione a fornire all’utente un’informativa in forma concisa e facilmente comprensibile, che sia anche facilmente consultabile per esempio mediante appositi link ben individuabili e accessibili prima della raccolta dei dati.
L’informativa è un documento fondamentale per valutare la compliance rispetto al GDPR. È quindi consigliabile rivederne la coerenza con il GDPR con un legale di fiducia e verificare che contenga tutti gli elementi obbligatori previsti.
3. IL CONSENSO
Il GDPR prevede che il consenso vada espresso mediante “un’azione positiva inequivocabile” (es. i flag inseriti nelle caselle per i consensi al trattamento dei dati), specifica e informata di accettare il trattamento: la preselezione o la spunta obbligatoria di caselle non sono quindi una manifestazione di assenso a ricevere comunicazioni promozionali o commerciali, né lo è avere a disposizione un indirizzo mail senza previo specifico consenso dell’interessato.
Da notare che il consenso deve essere specifico: per cui sarà necessario ottenere un consenso per azioni marketing e promozionali e un consenso per la profilazione dei dati dell’utente. Non si potranno quindi più inglobare le due finalità in un unico consenso.
4. VALIDITÀ TEMPORALE DEI DATI
Per quanto tempo i dati ottenuti con un valido consenso saranno utilizzabili? Non ci sono al momento indicazioni vincolanti. La normativa si limita a dire che è obbligo del titolare del trattamento e dei suoi responsabili stabilire i tempi di conservazione dei dati. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario che potrebbe quindi anche essere un periodo superiore rispetto agli attuali 24 mesi previsti per un utilizzo per finalità commerciali, e quindi migliorativo rispetto all’attuale normativa. Diventa quindi fondamentale che i sistemi di gestione dei dati – CRM, ERP, piattaforme di email marketing e marketing automation – gestiscano la storicità dei consensi rilasciati, quindi dalla prima data del consenso ai successivi eventuali rinnovi da parte dell’utente.
5. I DATI PREGRESSI
I dati raccolti prima del 25 maggio 2018: non saranno persi ma occorrerà procedere con un’analisi finalizzata a mantenere e utilizzare i dati raccolti coerentemente con la nuova normativa, valutando in parallelo come riqualificare quelli raccolti per renderli conformi al GDPR. Il consenso raccolto prima del 25 Maggio 2018 resta valido se ha tutte le caratteristiche che il GDPR richiede, diversamente sarà opportuno adoperarsi per raccogliere nuovamente il consenso degli interessati. È ovviamente consigliabile rimuovere i contatti raccolti senza una registrazione del consenso e quelli troppo datati.
Contattaci per maggiori informazioni al numero 02 94752499 o in alternativa scrivici via mail a info@cdirectconsulting.it.